基于威胁分析的信息系统风险评估方法.pdf

《基于威胁分析的信息系统风险评估方法.pdf》由会员分享，可在线阅读，更多相关《基于威胁分析的信息系统风险评估方法.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第3 0 卷第1 8 期计算机工程2 0 0 4 年9 月V o L 3 0 他1 8C o m p u t e rE n g i n e e r i n gS e p t e m b e r2 0 0 4基金项目论文文章编号tl 0 0 0-3 4 2 8(2 0 0 4)1 8 0 0 5 6 0 3文献标识码：A中盈分类号，T P 3 1l 5 2基于威胁分析的信息系统风险评估方法张竞，薛质，秫梦泉(上海交通大学信息安全工程学院，上海2 0 0 0 3 0)摘要：对信息系统风险评估的方法有多种，该文提出了基于威胁分析的量化风险评估方法。包括其评估的步骤、量化的不同实现方式一一绝对量化方式

2、和相对量化方式、两种量化方式的优缺点分析以及两种量化方式评估的举例说明。关健词：信息系统；风险评估；绝对量化；相对量化I U s kA s s e s s m e n tM e t h o do fI n f o r m a t i o nS y s t e mB a s e do nT h r e a tA n a l y s i sZ H A N GJ i n g，X U EZ h i，L I NM e n g q u a n(S c h o o lo f I n f o m l a t i o nS e c u r i t yE n g i n e e r i n g,S h a n l

3、；h a iJ i a o t o n gU n i v e r s i t y，S h a n g h a i2 0 0 0 3 0)IA b s t r a c t T h e r ea l em a n yr i s ka s s e s s m e n tm e t h o d sf o ri n f o r m a t i o ns y s t e m，a n di nt h i sp a p e rt h eq u a n t i t a t i v er i s ka s s e s s m e n tm e t h o db a s e do nt h r e a ta n a

4、 l y s i si sp r e s e n t e d T h ea s s e s s m e n tp r o c e s s e s，t w ok i n d so fq u a n t i t a t i v ep r a c t i c e s，t h ea b s o l u t eo r l ea n dt h er e l a t i v eo n e，a n dt h ea n a l y s i so ft h ea d v a n t a g e sa n dd r a w b a c k sf o rt h et w op r a c t i c e s，a l

5、s ot h ee x a m p l ed e m o n s t r a t i o n sa r ep r o v i d e d 1K e yw o r d slI n f o r m a t i o ns y s t e m；R i s ka s s e s s m e n t；A b s o l u t eq u a n t i f i c a t i o n；R e l a t i v eq u a n t i f i c a t i o n风险评估就是确认信息系统的安全风险及其大小，并确定风险等级和优先控制顺序。对风险的定义是：威胁利用脆弱点导致资产损失的潜在可能性。在这个概念

6、的基础之上，风险评估即为以分析资产威胁、威胁可利用的脆弱点以及威胁的潜在损失为出发蒯”，对系统中的风险进行分析和测量。总体而言，风险评估方法可分为两种：定性的评估方法和定量的评估方浏”。定性的评估方法是指在风险评估过程中，对评估因素的测量仅用诸如定性的等级描述方式实现；而定量的评估方法是指对评估因素的测量通过数值体现，并且根据上述因素的测量值，利用一定的算法计算得到最终的风险值，而本文要探讨的是定量的风险评估。1 基于威胁分析的风险评估基于威胁分析的风险评估就是在评估资产及其价值、威胁和脆弱性的基础之上，确定每一威胁的发生率及其导致的损失大小。在此意义上，风险评估可分为如下步骤I：(1)确定关

7、键资产(A)及其价值，即确定需要保护的对象，包括无形资产和有形资产；(2)分析及量化资产面临的威胁(T)，即分析可能对资产造成损失的潜在事件，并确定威胁可能发生的概率及潜在损失(L)大小；(3)分析及量化系统存在的脆弱点(V)，即分析可能被威胁利用而造成损失的漏洞和安全隐患，并确定脆弱点可能被利用的概率；(4)风险计算，即根据上述量化值，通过公式计算得到最终的风险值。前3 步对资产(A)、威胁(T)以及脆弱点(V)的分析可概括为风险分析，其应该在信息系统的安全需求框架之下，以分析系统现有安全措施为前提的条件下进行，因为安全需求是系统安全性要求的出发点，而安全措施直接决定信息系统实际可能面临的威

8、胁，并影响威胁发生的概率及可能的潜在损失。概括之，就是在进行风险分析时，必须考虑安全因素之间的关系，具体如图i 所示。风险分析完成之后，就可以得到每一个资产实际面临的威胁(包括威胁发生的概率T F)、威胁可利用的脆弱点(包括威胁利用脆弱点的概率V F)(同一威胁可利用的脆弱点可能不止一个)以及威胁发生可能导致的一5 6 损失。至此即明确了信息系统的全部风险，其详细信息可用图2 所示的方式进行全面刻画。安全需求资产A：圈I 周詹汾新盼理论关系圈匪2 系统风险圈风险分析完成之后，所有风险计算所需的因素已全部确定。因此根据一定的公式就可以进行风险的计算。风险是潜在损失及其发生可能性的函刻引，记为R=

9、L F(I)其中，R 代表风险，L 代表损失，而F 代表风险概率。基金项目：国家“8 6 3”计划基金资助项目：国家信息安全应急响应与风险评估技术研究作者倚介：张竞(1 9 7 9 一)，女，硕士生，研究方向：信息安全；薛质、林梦泉，副教授收稿日期：2 0 0 3-0 8 0 4E m a i l：z j i n g s j t u e d u c n 万方数据由于风险概率是威胁在信息系统中实际发生的概率，因此风险概率是威胁发生概率及脆弱点被利用概率的函刻”，记为F=T F V F(2)其中，T F 代表威胁发生的概率，V F 代表脆弱点被利用的概率(e P 所有安全措施失败的概率)。因此，风

10、险的计算公式为R=L T F X V F(3)在风险评估过程中对各因素进行量化时，可有两种不同的量化方式，即绝对量化方式和相对量化方式，下面就这两种不同量化方式进行介绍。2 绝对量化方式此种量化方式是根据实际测量单位进行绝对的量化，即所有风险因素全都以其自身的度量单位进行测量，而且所有取值均为实际的绝对值。对于损失(L)的量化，可通过计算威胁事件发生一次将造成的预期财产损失值而得到，一般可利用资产价值(A)和损失度(E F)的乘积进行计算3 1，损失度(E F)是以百分比形式表示的潜在损失程度，因此损失值是诸如Y10 0 00 0 0 的一个货币值。而发生率(F)的量化，也是严格按照其自身的意

11、义，通过计算威胁的年发生频率(T F)和脆弱点被利用的概率(V F)的乘积得到年发生率，所以发生率是一个以次年为量纲的概率值。根据以上的方法，通过式(1)计算得到的风险(R)含义实质是每年的预期损失值I”。这种量化方式有一个很大的益处，就是可以用来进行成本效益分析1，即将计算得到的风险值(e P 年预期损失)与每年的安全成本投入作比较，如果安全成本投入 风险值，那就证明安全投入是合理的，具有相应的成本效益，反之，则说明安全投入不具有经济性，可根据风险评估的结果制定更加合理有效的保护方案。但这个量化方式也明显存在一个很大的缺点，即绝对量化方式不便于计算，因为一方面估算资产的价值，特别是一些无形资

12、产的价值存在很大的困难，其主要原因在于这里的资产价值不仅包括这些资产本身所具有的价值，还包括遭受损失之后的更换、维修、恢复以及由此牵连而出的其他方面的损失价值，例如业务的损失以及信誉的损失等方面的损失价值。另一方面各概率的绝对量化也存在很大的困难，它必须建立在大量的先期数据或经验的基础之上，而且这种具体数值的绝对量化方式存在较大的精确性损失。相比于绝对量化方式，另一种量化方式相对量化方式则在降低量化程度的基础之上，较好地解决了绝对量化方式存在的困难。3 相对量化方式相对量化方式与绝对量化方式恰好相反，它计算资产和损失的相对值，换言之，损失值不再是一个货币值，而是一个无量纲的值，发生率亦是如此。

13、这种相对量化方式的思路是为避免绝对值计算的困难，所以通过等级对风险评估因素进行定性刻画”1，例如把诸如损失、威胁发生频率和脆弱点被利用的概率等的风险评估因素分为低、中、高3 级，但对每个等级赋予合理的相对数值，比如低为1、中为2、高为3，相对数值不具有实际的物理意义，但遵从绝对数值的含义，比如损失绝对值大，则赋予高等级损失的相对值也较大。而风险(R)仍然为上述3 个因素的乘积函数值，只是其计算所得值已经不代表绝对量化方式中的实际意义预期损失值，但从相对意义而言仍能体现风险大小的程度，并据此判断和比较风险等级。相对量化方式可通过建立矩阵【2 1 实现。在此种基于威胁的评估方法中，需要建立3 个矩

14、阵，即损失(L)、威胁发生频率(T F)和脆弱点被利用的概率(V F)三者的相对矩阵表。下面举一个相对量化方式评估的例子。假设各损失相对矩阵表如表l、表2、表3 所示(注：这些表格的具体等级划分和取值只是为了说明其意，其均可根据系统的实际情况进行调整)。衰i 损失相对矩阵表I 损火剐业较小较严爪搬严m不j 恢盟l 损火的午H 对值234衷2 威黻生菝率的相对炬阵表表3 臆弱点被稠用的相对概率矩阵表l 脆弱J _ 被利川的概率L J-忽略低I l呙I损火的十H 对仳l234此时，假如某一资产面临的威胁可能导致的损失程度为较严重，此威胁发生频率等级为高，相应的脆弱点被利用的概率等级为低，则此风险R

15、=2 4 2=1 6。在这里为了把相对量化方式阐述清楚，上例假设了一种最简单的相对矩阵。当然在实际运用中，为了更高的准确性，亦可以设计更详细复杂的矩阵。下面就将介绍一种较为复杂的相对矩阵量化的方法。在进一步研究可根据哪些因素对损失L、威胁发生频率T F 和脆弱点被利用的概率V F 进行相对量化的基础之上，建立针对上述因素的相对量化集u(每个因素分别建立相应的相对量化集)，设U=U，u!，U。然后如前所述，为各因素建立评估等级的集合V，此处假设相对量化集中每一个元素u，u2 一，u。建立的评估等级的集合相同，则V=V，V：，V。)接下来为相对量化集u 中元素u 确定相对应于评估等级集合中每一元素

16、V，v 2，V。的相对量化值K，x 西，)(i m，从而建立相对量化集元素的相对量化子集，记为)(iXi=x i l，x 2，xm)对每一相对量化因素都求出对应的X，构成一个U V 的相对量化矩阵X=x i l】(如若相对量化集中每一个元素u 建立的评估等级的集合不尽相同，则在建立相对量化矩阵时将空缺的相对量化矩阵元素置零)，其中l i n，1 j m，即x=形x2：XX I Ix2 IXH IX 1 2x2 2：x 1 2X 1，HX2 n，：xn m根据相对量化集u 中元素u I 的实际评估等级确定其各自的等级系数集合，实际评估等级对应的等级因素的等级系数为1，非实际评估等级对应的等级因素

17、的等级系数为0，据此建立等级系数的子集Z 2k-，z 一，其中 Z i。=1，一5 7 万方数据乙s 一0 l u 对应的实际等级=V k，s k，S，k O，m)。分别求出每一相对量化因素对应的Z i，将各因素的等级系数子集作为列向量构成一个VXU 的等级系数矩阵z=，其中l p m，l q n，即Z7=Z lZ?。|l2。h n一2 l。2 2一2 m。i i l。n 2。H mY=b，z 锄衄T2 瓢川X i j Z 阳从机密性(c)、完整性(i)和可用性(a)3 个因素考虑对损失的相U=c，i，a x：12 21z=j；Y=(工z)=t r X Z7=4为了追求准确性，在相对量化方式的

18、原理基础之上，其实现方法是可以无限复杂的，即可以不采取矩阵的实现方法，而通过建立其他更为精确复杂的模型来实现。这种量化方式的优点是显而易见的，由于无须计算各风险因素的实际绝对值，其量化比较容易。相对量化方式虽具有量化简单的优点，但也有其弊端。由于量化值不具有实际意义，因此无法同绝对量化评估方法一样利用其结果进行成本效益分析。但有一点还是要强调，这种方式的评估结果仍然可用于确定风险控制的优先等级，这是风险评估的主要目的，只是这必须建立在根据经验为相对值合理取值的基础之上，否则风险结果将无法体现风险等级，风险评估亦失去其意义。4 结束语本文论述了基于威胁的量化风险评估方法，阐述了这种方法的评估步骤

19、，并提出了两种不同的量化评估方式。由于信息系统中威胁的多样性，因此基于威胁的风险评估非常依赖于评估者对系统威胁的认识和发现，评估者的经验显得尤其重要。同时根据此两种不同量化方式的优缺点，其适用的场合和用途是不一样的，绝对量化方式可操作性较差，但其结果为实际的绝对值，因此比较适用于需进行成本效益分析的信息系统风险评估；而相对量化方式则可操作性强，但结果仅具有相对性，对于只需确定风险控制的优先等级以便实现合理风险管理的场合，宜采用相对量化方式评估参考文献I 科飞管理咨询公司信息安全管理概论B S 7 7 9 9 理解与实施北京：机械工业出版社，2 0 0 2-0 42A l b e r t sC

20、h r i s t o p h e rJ，B e h r e n sS a n d r aG，P e t h i aR i c h a r dD e ta 1 O p e r a t i o n a l l yC r i t i c a lT h r e a t,A s s e t，a n dV u l n e r a b i l i t yE v a l u a t i o n T M(O C T A W”)F r a m e w o r k(V e r s i o nI 0)P i t t s b u r g h。P A：S o R w a r eE n g i n e e r i n g

21、I n s t i t u t e,C a r n e g i eM e l l o nU n i v e r s i t y，19 9 9 0 63K r a u s eM，T i p t o mHF H a n d b o o ko fI n f o r m a t i o nS e c u r i t yM a n a g e m e n t(3 t hE d i t i o n)I n f o&N e t w o r kS e c u r i t y I n f oP r o t e c t i o n，2 0 0 04R a j a s i n g h a mP T h r e a

22、ta n dR i s kA s s e s s m e n t s：S O M EI s s u e s S A N SI n s t i t u t e，2 0 0I 0 4-105A l b e r t sC，D o r o f e eA O C T A W”T h r e a tP r o f i l e P i t t s b u r g h，P A：S o f t w a r eE n g i n e e r i n gI n s t i t u t e，C a r n e g i eM e l l o nU n i v e r s i t y，2 0 0I-0 6(上接第4 8

23、页)性能得到了比较显著的提高。5 结束语在目前的计算环境下，J a v a 技术逐渐在移动终端领域形成了广泛的应用需求。尽管移动终端的资源已经越来越丰富，但仍需要对终端所使用的J a v a 进行性能优化，以降低J a v a 对资源的需求，满足更广泛嵌入式应用的需要，并有效降低J a v a 应用的功耗情况，使移动终端进行电子商务、电子银行和3 D 游戏等复杂应用成为可能。本文详细分析了线索化、直接线索化和内联线索化等主要的懈释器优化技术，并在嵌入式J a v a 虚拟机中实现了基于直接线索化的解释器优化技术。文中对嵌入式J a v a 虚拟机的直接线索化优化方案进行了详细描述，并对线索化解

24、释器和直接线索化解释器及其参考实现进行了性能对比工作。通过性能对比，说明了直接线索化优化后的J a v a 虚拟机解释器的一5 8 一参考文献IK a t zRH A d a p t a t i o na n dM o b i l i t yi nW i r e l e s sI n f o r m a t i o nS y s t e m s【J】A d a p t a t i o na n dM o b i l i t yi nW i r e l e s sI n f o r m a t i o nS y s t e m s。1 9 9 5-0 8 1：6-1 72N o b l eBD

25、M o b i l eD a t aA c c e s s D O L C a r n e g i eM e l l o nU n i v e r s i t y，h t t p：w w w C S c m u e d u a f s c s p r o j e c t c o d a W e b d o c d i r b n o b l e-f l a e s i s p d f,1 9 9 83M o o r eCH L e a c hGC F O R T H AL a n g u a g ef o rI n t e r a c t i v eC o m p-u t i n g【M O

26、L h t t p：w w w u l t r a t e c h n o l o g y c o m 4 t h 一1 9 7 0 h t m l。1 9 7 04B e l lJR T h r e a d e dC o d e C o m m u n i c a t i o n so ft h eA C M【J】，I9 7 3，I6(6)：3 7 0-3 7 25P i u m a r t aI,R i c c a r d iF O p t i m i z i n gD i r e c tT h r e a d e dC o d eb yS e l e c t i v eI n l i n

27、 i n g【A】S I G P L A NC o n f e r e n c eo r lP r o g r a m m i n gL a n g u a g eD e s i g na n dI m p l e m e n t a t i o n【C】，19 9 8：2 9I 3 0 0 万方数据基于威胁分析的信息系统风险评估方法基于威胁分析的信息系统风险评估方法作者：张竞，薛质，林梦泉作者单位：上海交通大学信息安全工程学院,上海,200030刊名：计算机工程英文刊名：COMPUTER ENGINEERING年，卷(期)：2004,30(18)被引用次数：6次 参考文献(5条)参考文献(5

28、条)1.Alberts C;Dorofee A OCTAVSM Threat Profile 20012.Rajasingham P Threat and Risk Assessments:SOME Issues 20013.Krause M;Tiptom H F Handbook of Information Security Management(3th Edition)20004.Alberts Christopher J;Behrens Sandra G;Pethia Richard D Operationally Critical Threat,Asset,andVulnerabil

29、ity EvaluationSM(OCTAVSM)Framework(Version 1.0)19995.科飞管理咨询公司 信息安全管理概论-BS7799理解与实施 2002 引证文献(6条)引证文献(6条)1.宋敏.覃正.陈亮.王秉乾.陈磊 税务信息系统风险分析方法研究期刊论文-计算机应用研究 2008(2)2.徐峰.张昱 基于威胁建模的教学管理系统设计与实现期刊论文-计算机工程与设计 2008(22)3.王伟.李春平.李建彬 信息系统风险评估方法的研究期刊论文-计算机工程与设计 2007(14)4.刘宝利.肖晓春.张旭.张根度 基于PKI系统安全等级保护评估准则的评估方法期刊论文-计算机工程 2007(18)5.刘宝利.肖晓春.张根度 基于层次分析法的信息系统脆弱性评估方法期刊论文-计算机科学 2006(12)6.刘京杰 校园网异常行为分析与威胁评估学位论文硕士 2006 本文链接：http:/